NEC - 早稲田大学

Download Report

Transcript NEC - 早稲田大学

NEC-早大技術交流会
OpenFlowスイッチによる広域通信の効率的集約法
山田 建史
早稲田大学 基幹理工学研究科 情報理工学専攻 後藤滋樹研究室 修士1年
1
NEC-早大技術交流会
2011/12/26
Agenda
1. 研究の背景
2. 研究の目的
3. 既存手法
4. 提案手法
5. 実証実験
6. 実験結果
7.まとめと今後の課題
2
NEC-早大技術交流会
2011/12/26
研究の背景

情報量増大に伴い悪意のある通信の問題が顕在化


国際的なサイバー攻撃が頻発
ボットネットの活動の調査が追いつかない
通信の選別

広域的な調査を行い、多様化した攻撃の実態を掴む


効率的に攻撃手法の情報収集が必要
IT利用の利便性と情報セキュリティ対策との両立
3
NEC-早大技術交流会
2011/12/26
研究の目的1

既存の悪意のある通信の観測や防御に必要な機器



侵入検知システム(IDS)
侵入防御システム(IPS)
ファイアウォール
観測を行う範囲を広げると
・設備投資によるコスト増大
・機器の運用や設定にかかる人的なコスト
ネットワーク機器での制御
観測機器の設置・維持によるコストを抑えられる
広域な通信を効率良く制御できる
4
NEC-早大技術交流会
2011/12/26
関連研究:ポリシールーティングを用いた
ネットワークハニーポットの構築
白畑真, 南政樹,村井純(情報処理学会研究報告(DSM-038), pp.55-58, 2005)

ルータにポリシーを与え検知した通信をハニーポットに集約


特定のポート番号を元にルーティング
Iptablesとiproute2を組み合わせる
ポート番号による
ポリシールーティング
ルータ
ホスト
Internet
ルータ
・エントリ数が大きくなるとルータに負荷がかかる
→ ポート番号でのみの制御
・制御内容の適用はルータ自身にのみ
→効率が悪く、スケールアウトしない
5
NEC-早大技術交流会
ハニーポット
2011/12/26
研究の目的2

広域な通信を一元管理できるネットワーク管理システムが必要
OpenFlowスイッチング技術

スイッチの機能を転送部と制御部に独立
制御部による転送部への一元管理

広域通信を効率良く制御し、悪意のある通信を集約する



柔軟かつ集約的な制御
悪意のある通信の選別
安定した通信の集約
6
NEC-早大技術交流会
2011/12/26
提案手法
OpenFlowスイッチによる
広域通信の効率的集約法
7
NEC-早大技術交流会
2011/12/26
提案手法:悪意のある通信の集約
広範囲の通信をOpenFlowスイッチにより選別、誘導
選別した通信をハニーポットに集約
dshield.org が
公開している
ブラックリスト
※ O/F:OpenFlow
ポート番号
送信元IPアドレス
O/F Controller
O/Fスイッチ1
ホスト
Internet
O/Fスイッチn
機能の独立
スケールアウト可能
Controller制御
柔軟かつ動的なポリシー
柔軟かつ安定したセキュアなシステム
8
NEC-早大技術交流会
ハニーポット
2011/12/26
実証実験:概要

攻撃通信をhping3、正常な通信をiperfで再現

hping3: pingライクなパケット生成ツール


iperf:トラヒック発生ツール


ファイルダウンロード、スループットの測定
比較実験項目



ポートスキャン、スパムによる攻撃(送信元IPアドレスの偽造)
収集率の比較
スループットの比較 (平均スループット、分散)
実験環境

仮想サーバ上に仮想ネットワークを構築
9
NEC-早大技術交流会
2011/12/26
悪意のある通信の再現

hping3


icmp プロトコルで動作するping ライクなコマンド
多種様々なパケットの生成が可能
ポートスキャンとIPスプーフィングを利用
※IPスプーフィング:送信元IPアドレスの偽造

iperf



擬似トラフィック生成ツール
ファイルダウンロードやスループットの測定
サーバ/クライアント方式で動作
1Mbyteのファイルダウンロードを利用
測定はしばらく時間を置いて、通信が安定してから行う
10
NEC-早大技術交流会
2011/12/26
実証実験:基本構成と詳細

※ O/F:OpenFlow
サーバ‐ホスト間に2つのトラフィックによる通信を観測


収集率
:攻撃通信がハニーポットに流れた割合
スループット:サーバ‐ホスト間を測定
O/F Controller
ホスト
O/Fスイッチ1
サーバ
O/Fスイッチ2
正常な通信:iperf
攻撃通信 :hping3
11
NEC-早大技術交流会
ハニーポット
2011/12/26
実験環境:既存手法

ルータにポリシーを与え検知した通信をハニーポットに集約


特定のポート番号を元にルーティング
Iptablesとiproute2を組み合わせる
ポート番号による
ポリシールーティング
ポリシルータ
ホスト
サーバ
ポリシルータ
ハニーポット
12
NEC-早大技術交流会
2011/12/26
ポリシールーティングの構成図
iproute2とiptablesを組み合わせることで
ポリシーを設定し、転送を行う
ホスト
サーバ
13
NEC-早大技術交流会
2011/12/26
※ O/F:OpenFlow
実験環境:提案手法

ポリシーやコントローラの制御により悪意のある通信を選別
送信元IPアドレス
ポートポリシー
O/F Controller
更新
ホスト
Internet
O/Fスイッチ1
サーバ
O/Fスイッチ2
ハニーポット
14
NEC-早大技術交流会
2011/12/26
使用したポリシー

ポート番号


nepenthesが対応、検知するポート番号 18種類
警察庁セキュリティポータルサイト@police 上位20件



参考:インターネット治安情勢 2010年7~9月
合計 27種類
ブラックリスト

Dshield.org が提供



ホストのIPアドレス群
スキャンや不正アクセス
上位100件を使用
15
NEC-早大技術交流会
2011/12/26
実験結果1:収集率
35
悪意のある全トラフィックから、集約した通信の割合
30
25
20
収集率 (%)
15
10
5
0
既存手法
ポート番号のみ
16
提案手法
ポート番号+IPブラックリスト
NEC-早大技術交流会
2011/12/26
実験結果2:平均スループット
平均スループット
(Mbps)
既存手法
提案手法
分散
13.95
0.56
12.71
0.35
スループットの
ばらつきが少ない
17
NEC-早大技術交流会
2011/12/26
まとめ
安定した広域通信での通信集約システム
OpenFlowによる通信選別手法
集約率に大きな改善
安定したスループット
提案手法に優位性、実用性
18
NEC-早大技術交流会
2011/12/26
今後の課題

1. より精度の高いポリシーを検討



2. 比較対象の検討
- vyattaなどの仮想ルータとの比較


今回はopenvswitchを使用
- OpenFlowスイッチとの比較


より動的で柔軟なポリシーの設定
ポリシルータではなく、既存のOpenFlowスイッチで
複数種類の手法を検討
3. 実機での検証

19
今回は仮想環境での実験
NEC-早大技術交流会
2011/12/26
ご清聴ありがとうございました
20
NEC-早大技術交流会
2011/12/26
補足資料
21
NEC-早大技術交流会
2011/12/26
OpenFlow


フロー単位で処理を行うオープンソースのスイッチ
スイッチの機能をスイッチ部とコントローラ部に分割


特別な設定がない場合は通常のL2スイッチ
コントローラでの制御一括管理

より柔軟な対応が可能(動的なパラメータの変更)
OpenFlow
スイッチ
Rule
22
CSS2011
Controller
Action
Stats
2011/10/20
OpenFlowの制御とその特徴

スイッチとコントローラによる機能分離
SW(コントローラ)で処理方法を決定
HW(スイッチ)で通信の処理
一つのコントローラで複数のOpenFlowスイッチを
制御することが可能



各種ヘッダ情報の書き換え
Rule Action Stats
ポート番号、IPアドレス、MACアドレスなど
レイヤ4以下のヘッダ情報は書き換えが可能
任意のヘッダを挿入することも可能



高速で柔軟なネットワーク環境が実現可能
23
CSS2011
2011/10/20
フローの定義

レイヤ4以下の情報の組み合わせで定義









受信したスイッチの物理ポート
宛先MACアドレス、送信元MACアドレス
Etherタイプ
通信をフローとして扱う
VLANタグID
VLANプライオリティ
宛先IPアドレス、送信元IPアドレス
プロトコル番号
きめ細かい通信制御や
ToS (Type of Service)
柔軟な設計や構築が可能
宛先ポート番号、送信元ポート番号
※ OpenFlow v1.2からIPv6も対応
24
CSS2011
2011/10/20
フローの定義とフローテーブルの構成
フローの定義
25
CSS2011
2011/10/20
OpenFlowの動作
OpenFlow
controller
OpenFlow
switch
SW
HW
5. 以降同じパケットは
同様に転送される
26
3. 処理を決定
Secure
channel
Flow
table
Rule
Action
Stats
4. 処理をフローテーブルに登録し
パケットの処理を行う
1. 最初のパケットを送信
2. フローテーブル未登録より
コントローラへパケットを転送
CSS2011
2011/10/20
ポート番号の選定

Nepenthesが検知するポート番号が基準
21/TCP, 23/TCP, 25/TCP, 42/TCP, 80/TCP, 110/TCP,
135/TCP, 139/TCP, 143/TCP,
 443/TCP, 445/TCP, 465/TCP, 993/TCP, 995/TCP,
1023/TCP, 1025/TCP, 1433/TCP,
 2103/TCP, 2105/TCP, 2107/TCP, 3372/TCP,
3389/TCP, 5000/TCP, 6129/TCP,
 9415/TCP, 10000/TCP

27
CSS2011
2011/10/20
関連研究:ポリシールーティングを用いた
ネットワークハニーポットの構築
白畑真, 南政樹,村井純(慶応義塾大学, 情報処理学会研究報告, p.p,55-58 2005)

ルータにポリシーを与え攻撃種類に応じて適切なハニーポットに分別


特定のポート番号を元にルーティング
複数種類のハニーポットを活用
ハニーポット(複数種類)
Darknet
使用していない
IPアドレス空間
Interne
t
ポリシルータ
複数種類のハニーポットの特性を
活かすことが可能
ポート番号による
ポリシールーティング
28
CSS2011
2011/10/20
ポート番号によるポリシールーティング
指定したポート番号は
ハニーポットへ転送
→スイッチ側で制御
※ O/F:OpenFlow
Controller
ルール
!
アクション
ステート
O/Fスイッチ1
ホスト群
サーバ
O/Fスイッチn
ハニーポット
29
CSS2011
2011/10/20
動作例(ハニーポットへ誘導)

スイッチ部のポリシーとコントローラ制御により悪意のある通信を選別
rule
action
stats
Controller
?
O/Fスイッチ1
Internet
ホスト
IPアドレス,MACアドレス
書き換え
1. O/Fスイッチにパケットが到着
2. フローテーブルにないので
controllerに転送し、問い合わせ
3. 以降ハニーポットへ転送、誘導
!
O/Fスイッチ2
4. 通信によっては代理で応答を返す
30
※ O/F:OpenFlow
CSS2011
ハニーポット
2011/10/20
ハニーポット

マルウェア収集のため脆弱性の存在するホストを
エミュレートするサーバーやネットワーク機器

ローインタラクションハニーポット



脆弱性があるOS やアプリケーションの反応をエミュレートすることで
マルウェア収集
代表例:nepenthes ←本研究で使用
ハイインタラクションハニーポット

脆弱性がある本物のOS やアプリケーションを用いて構築
31
CSS2011
2011/10/20
※ O/F:OpenFlow
現在の取り組み


コントローラの制御に機械学習を導入
より柔軟で精密に悪意のある通信を選別
送信元IPアドレス
ポートポリシー
学習&判定モジュール
Controller
ホスト
Internet
O/Fスイッチ
ハニーポット
32
CSS2011
2011/10/20
※ O/F:OpenFlow
現在の取り組み:将来像

コントローラの機械学習による制御とIDSの連携

通知⇨学習⇨フィードバックによる循環システム
学習&判定モジュール
Controller
通知
IDS
フィードバック
ホスト
Internet
O/Fスイッチ
ハニーポット
33
CSS2011
2011/10/20